IIS 安裝與SSL 協(xié)議分析38060626 雍有敏 于IIS 上添加SSL 協(xié)議的方法：1. 申請證書：本次使用了ZXCA 《自信》數(shù)字證書工具v1.6.5來生成數(shù)字證書，省去了申請的過程。2.

IIS 安裝與SSL 協(xié)議分析

38060626 雍有敏 于IIS 上添加SSL 協(xié)議的方法：

1. 申請證書：本次使用了ZXCA 《自信》數(shù)字證書工具v1.6.5來生成數(shù)字證書，省去了申請的過程。

2. 安裝證書：

于服務(wù)器證書中添加。

3. 于網(wǎng)站中更改SSL 設(shè)置

刷新后生效。 客戶端登陸截圖：

SSL 協(xié)議分析：

SSL

安全加密的實(shí)現(xiàn)手段主要是依靠數(shù)字證書。其實(shí)現(xiàn)機(jī)制是：當(dāng)用

戶和web 服務(wù)器建立連接后，服務(wù)器會(huì)把數(shù)字證書與公用密鑰一同發(fā)送給客戶端；客戶端收到后會(huì)生成會(huì)話密鑰，并用公用密鑰進(jìn)行加密，然后傳遞給服務(wù)器；服務(wù)器端用私人密鑰進(jìn)行解密。這樣，客戶端和服務(wù)器端就建立了一條安全通道，只有SSL 允許的用戶才能與IIs 服務(wù)器進(jìn)行通信。具體過程如下。

(1)Client Hello：客戶端將其SSL 版本號、加密設(shè)置參數(shù)、與session 有關(guān)的數(shù)據(jù)以及其它一些必要信息(加密算法和能支持的密鑰大小) 發(fā)送服務(wù)器。

(2)Server Hello：服務(wù)器將其SSL 版本號、加密設(shè)置參數(shù)、與session 有關(guān)的數(shù)據(jù)以及其它一些必要信息發(fā)送給客戶端。

(3)Certificate(可選) ：服務(wù)器發(fā)一個(gè)證書或一個(gè)證書鏈到客戶端，證書鏈開始于服務(wù)器公共鑰匙并結(jié)束于證明權(quán)威的根證書。該證書用于向客戶端確認(rèn)服務(wù)器的身份，該消息是可選的。如果配置服務(wù)器的SSL 需要驗(yàn)證服務(wù)器的身份，會(huì)發(fā)送該消息。多數(shù)電子商務(wù)應(yīng)用都需要服務(wù)器端作身份驗(yàn)證。

(4)Certificate Request(可選) ：如果配置服務(wù)器的SSL 需要驗(yàn)證用戶身份，還要發(fā)出請求要求瀏覽器提供用戶證書。多數(shù)電子商務(wù)不需要客戶端身份驗(yàn)證，不過，在支付過程中經(jīng)常需要客戶端身份驗(yàn)證。

(5)Server Key Exchange(可選) ：如果服務(wù)器發(fā)送的公共密鑰對加密密鑰的交換不是很合適，則發(fā)送一個(gè)服務(wù)器密鑰交換消息。

(6)ServerHelloDone：通知客戶端，服務(wù)器已經(jīng)完成了交流 過程的初始化。

(7)Certificate(可選) ：客戶端發(fā)送客戶端證書給服務(wù)器。僅當(dāng)服務(wù)器請求客戶端身份驗(yàn)證的時(shí)候會(huì)發(fā)送客戶端證書。

(8)Client Key Exchange：客戶端產(chǎn)生—個(gè)會(huì)話密鑰與服務(wù)器共享。在SSL 握手協(xié)議完成后，客戶端與服務(wù)器端通信信息的加密就會(huì)使用該會(huì)話密鑰。如果使用RSA 加密算法，客戶端將使用服務(wù)器的公鑰將會(huì)話密鑰之后再發(fā)送給服務(wù)器。服務(wù)器使用自己的私鑰對接收的消息進(jìn)行解密得到共享的會(huì)話密鑰。

(9)Ce~ificate Verify：如果服務(wù)器請求驗(yàn)證客戶端，則這消息允許服務(wù)器完成驗(yàn)證過程。Change cipher spec：客戶端要求服務(wù)器在后續(xù)的通信中使用加密模式。

Finished ：客戶端告訴服務(wù)器已經(jīng)準(zhǔn)備好安全通信了。

Change cipher spec：服務(wù)器要求客戶端在后續(xù)的通信中使用加密模式。 Finished ：服務(wù)器告訴客戶端它已經(jīng)準(zhǔn)備好安全通信了。SSL 握手完成的標(biāo)志。

Encrypted Data：客戶端和服務(wù)端在安全信道上進(jìn)行加密信息的交流。

在無SSL 加密下利用EthereaI 進(jìn)行分析

在捕捉到的數(shù)據(jù)集中，按照時(shí)間排序后發(fā)現(xiàn)，本地IE 瀏覽 器和服務(wù)器端首先進(jìn)行了TCP 次握手和一些數(shù)據(jù)交換，然后

直接將用戶名和密碼以明文的形式進(jìn)行傳輸?？梢姡@種沒有經(jīng)過加密的明文HTTP 傳輸是非常不安全的。

在有SSL 加密下利用Ethereal 進(jìn)行分析

在捕捉到的數(shù)據(jù)集中，按照時(shí)間排序后發(fā)現(xiàn)，本地IE 瀏覽 器和服務(wù)器端首先進(jìn)行了TCP 三次握手和一些數(shù)據(jù)交換，然后 進(jìn)行了SSL 中交換hello 包和密鑰的傳輸操作。在這種情況下， 我們抓取的全部是密文傳輸數(shù)據(jù)，如果沒有密鑰將無法解密。 與之前的無SSL 配置站點(diǎn)相比，這大大提高了用戶名和密碼傳 輸?shù)陌踩浴?/p>